По сравнению с 2023 годом в 2024 году количество незаконных действий и мошеннических операций с использованием платежных карт, по которым были понесены убытки, снизилось на 2 тыс. операций (или на 1%) — до 270 тыс. операций в течение прошлого года. Такие данные обнародовал Национальный банк Украины. Где и как у украинцев преступники воруют деньги и можно ли предотвратить финансовые потери, выяснял Фокус.
Меньше мошенничества: что влияло на динамику карточных махинаций
По данным НБУ, на один миллион расходных операций с платежными картами приходилась 31 мошенническая операция. Относительное количество мошеннических операций уменьшилось на 8% благодаря росту общего количества расходных операций, говорят в Нацбанке. Сумма убытков от незаконных действий и мошеннических операций с использованием платежных карт за 2024 год выросла на 37% до 1,1 млрд гривен. А средняя сумма одной незаконной операции выросла на 39% по сравнению с 2023 годом до 4 247 грн.
"Количество случаев незаконных действий с использованием платежных карт, по которым были нанесены убытки, уменьшилось. Это позитивный сигнал, отражающий совместные усилия банков, регулятора и правоохранительных органов. В то же время сумма убытков от этих операций существенно возросла, что свидетельствует об изменении характера угроз и требует от нас всех постоянной бдительности и адаптации", — отмечает в комментарии Фокусу Анна Довгальская, заместитель председателя правления Глобус Банка.
Сумма убытков от мошеннических операций с использованием платежных карт за 2024 год выросла на 37% до 1,1 млрд гривен
Положительную динамику по количеству мошеннических операций обусловили несколько факторов, говорит Екатерина Мащенко, главный эксперт по вопросам информационной безопасности Райффайзен Банка, — это системная работа банковского сектора, государственных органов и рост осведомленности клиентов.
Эксперты говорят и о том, что банки совершенствуют собственные системы борьбы с мошенничеством, вовремя выявляя подозрительные транзакции и блокируя их. "В то же время значительную роль играет просветительская деятельность. Свою роль играет и оперативный обмен информацией между банками, киберполицией и регулятором, что позволяет быстро реагировать на новые угрозы", — отметила Екатерина Мащенко.
Вадим Гаврилюк, начальник Управления безопасности UnexBank, считает, что украинцы стали лучше ориентироваться в финансовой безопасности. "С начала войны мы вместе с другими банками, финансовыми компаниями и Национальным банком Украины активнее начали обучать, как распознавать мошенничество и обезопасить себя. Во-вторых, мы усовершенствовали системы защиты: ввели дополнительные уровни защиты, установили лимиты на суммы переводов, ввели умные алгоритмы для выявления подозрительной активности. Все это усложнило жизнь злоумышленникам. Также клиенты стали более внимательными, а фишинговые атаки менее массовыми — благодаря усилиям самих пользователей, а также активной модерации со стороны платформ и соцсетей", — говорит эксперт.
Во всем виноват Интернет: какие операции для кражи денег чаще всего используют преступники
По данным НБУ, большинство мошеннических случаев произошли в Интернете: 83% от общего количества случаев мошеннических операций. По сумме убытков к месту проведения мошеннической операции в 2024 году также выросла доля мошеннических операций через Интернет — до 93% (в 2023 году было 86%).
Екатерина Мащенко отмечает: основа мошеннических схем остается неизменной — социальная инженерия, целью которой является получение аутентификационных данных (логинов, паролей, одноразовых паролей, ПИН-кодов и т.д.) и реквизитов карты (номер, срок действия, CVV).
"Встречаются также мошеннические схемы, по которым злоумышленники обманным путем заставляют клиента установить инструменты дистанционного управления устройством или перевыпускают SIM-карту финансового номера. Уже имея такой доступ, они инициируют мошеннические транзакции. К счастью, такие схемы пока являются "экзотическими" — мы сталкиваемся с ними нечасто. Но действительно: транзакции, инициированные таким образом, очень сложно выявить и предупредить", — говорит Екатерина Мащенко.
Эксперты рассказали, что самой распространенной схемой преступников является использование фишинговых сайтов. "Сложнее всего отличить фишинговые сайты от настоящих и звонки от "службы безопасности банка", которые звучат убедительно", — говорит Ярослав Захарченко, начальник сектора безопасности банковских карт и противодействия мошенническим операциям ОТП Банка.
По словам Вадима Гаврилюка, чаще всего мошенники создают фейковые сайты или присылают поддельные письма, sms или сообщения в мессенджерах якобы от имени банков, госучреждений или популярных сервисов. Цель — заставить человека перейти по ссылке и самостоятельно ввести данные своей карты, CVV-код или одноразовый пароль. Также активно используются фейковые интернет-магазины или объявления о "выгодных" акциях и распродажах — собрав платежные данные покупателя, мошенники просто снимают деньги со счета.
Самой распространенной схемой преступников является использование фишинговых сайтов. Мошенники создают фейковые сайты или присылают поддельные письма, sms или сообщения в мессенджерах якобы от имени банков, госучреждений или популярных сервисов
Однако актуальным средством украсть средства со счета остается социальная инженерия, когда преступники звонят человеку, выдавая себя за работника банка. "Мошенники под видом "защиты от несанкционированной операции" уговаривают раскрыть конфиденциальную информацию. Сложнее всего заметить именно такие атаки, потому что они апеллируют к эмоциям — страху, срочности, доверию к "банку". Человек может быть уверен, что спасает свои средства, и не заметить, как передает контроль над счетом", — отмечает Вадим Гаврилюк. И добавляет: есть еще мошенничество через онлайн-объявления, когда пользователь продает что-то на интернет-платформах, мошенники могут под видом "покупателей" прислать фейковую ссылку на "получение средств" — и так выманить данные карты.
В Глобус Банке по просьбе Фокуса перечислили самые распространенные мошеннические схемы:
- Фишинг (Phishing): мошенники создают поддельные веб-сайты, имитирующие официальные ресурсы банков, государственных учреждений (например, для выплаты помощи), популярных онлайн-магазинов, платежных систем или почтовых служб. Рассылают электронные письма, SMS-сообщения, сообщения в мессенджерах со ссылками на фейковые сайты. Цель — выманить полные реквизиты платежных карт (номер карты, срок действия, CVV-код), коды подтверждения из SMS, логины и пароли для входа в интернет-банкинг.
- Вишинг (голосовой фишинг): Звонки от имени банков или других организаций (правоохранительных органов, социальных служб, государственных учреждений) с требованием предоставить данные карты или коды подтверждения под вымышленным предлогом "блокировки счета", "подозрительной активности" или "получения выплаты".
- Квишинг (QR-код фишинг): относительно новая форма фишинга, использующая поддельные QR-коды для перенаправления жертв на вредоносные сайты. Такие коды могут размещаться в публичных местах, на платежных терминалах или рассылаться в сообщениях.
- Цифровой скимминг (Digital Skimming): мошенники вставляют вредоносный код (веб-скимеры) на сайты электронной коммерции, что позволяет похищать данные карт во время ввода на платежных страницах. Эти атаки часто направлены на сайты продавцов из-за уязвимостей платформ или сторонних ресурсов (supply-chain attacks).
- Инвестиционные мошенничества, BEC и романтические аферы: мошенники используют криптовалюты, поддельные приложения и рекламу, созданную с помощью ИИ, для привлечения жертв в фейковые инвестиционные проекты, компрометацию деловой переписки (Business Email Compromise, BEC) или романтические аферы с целью выманивания средств.
- Перехват аккаунтов (Account Takeover, ATO): преступники получают доступ к банковским, email или социальным аккаунтам через торговлю украденными данными в темной сети.
По данным НБУ, только 17% мошеннических операций в прошлом году произошло через физические устройства (торговая сеть, банкоматы, устройства самообслуживания). Итак, самыми распространенными средствами украсть деньги для мошенников остаются Интернет, мессенджеры и соцсети. "Схемы со скиммингом или изготовлением дубликатов карт практически исчезли с украинского рынка благодаря переходу на чиповые карты и активному противодействию банков. Большинство мошеннических операций в физических каналах — это следствие потери или кражи платежной карты", — говорит Екатерина Мащенко.
Какие советы дают специалисты, чтобы владельцы карт не потеряли деньги из-за мошенничества
"Банки, вместе с Национальным банком Украины, продолжаем активно работать над информированием клиентов и внедрением новых стандартов безопасности, таких как PSD3 и PCI DSS. Но стоит помнить: бдительность клиента — это самый эффективный инструмент защиты. Внимательность, двухфакторная аутентификация, тщательная проверка устройств и избежание разглашения конфиденциальных данных. Своевременное реагирование банков на нетипичные операции является ключевым фактором в уменьшении убытков, но успех зависит от нашего совместного, слаженного сотрудничества", — отметила Анна Довгальская.
Евгений Грубый, начальник управления развития карточного бизнеса и перекрестных продаж ОТП Банка, отмечает: даже те, кто хорошо знает правила безопасных онлайн-расчетов, иногда сознательно их игнорирует — ради удобства. "Сохраняют данные карты в браузере, переходят по ссылкам из SMS, не проверяют адрес сайта... Все это кажется мелочами, пока не становится причиной потери денег. Мошенники этим пользуются. Они рассчитывают не только на неосведомленность, но и на человеческую привычку "делать быстро". Именно поэтому важно не просто знать правила, но и придерживаться их ежедневно", — говорит эксперт.
Вадим Гаврилюк в комментарии Фокусу отмечает: чтобы обезопасить свои средства на банковском счете, клиентам стоит прежде всего внимательно относиться к своим личным данным — никогда не передавать PIN-коды, пароли, коды из SMS или одноразовые пароли никому, даже если это якобы сотрудник банка. "Важно регулярно проверять свои счета и операции через мобильное приложение или интернет-банкинг, чтобы сразу заметить любые подозрительные транзакции. Также стоит пользоваться всеми доступными средствами безопасности, которые предлагает банк: активировать многофакторную аутентификацию, настраивать оповещения об операциях, быстро блокировать карты в случае потери или подозрения на мошенничество. Не следует устанавливать банковские приложения на устройства, которые не защищены паролем или биометрией, а также избегать подключения к открытым Wi-Fi сетям во время финансовых операций", — рассказал Вадим Гаврилюк.
По его мнению, стоит быть осторожными со ссылками и приложениями, которые поступают в сообщениях или электронной почте, особенно если они просят ввести личные данные или перенаправляют на сайты, которые выглядят подозрительно. Если возникают сомнения, лучше обратиться непосредственно в банк через официальные каналы связи.
Главные советы от экспертов по безопасности банковских данных для владельцев платежных карт:
- не сообщать логин, пароль, одноразовые коды из SMS или мессенджеров, срок действия карты, CVV и PIN — ни один банк не запрашивает эти данные;
- обращать внимание на содержание сообщений с одноразовыми кодами, в тексте обычно указано, для чего предназначен код — вход в приложение, платеж или изменение настроек;
- всегда проверять ссылки сайтов перед вводом платежных данных — настоящий сайт банка имеет защищенное соединение (https://) и правильный адрес (без ошибок или лишних символов).
- не сохраняйте пароли и данные карт в заметках телефона или в чатах мессенджеров;
- настроить PIN-код для SIM-карты;
- включить двухфакторную аутентификацию (2FA) для мессенджеров;
- запретить показ уведомлений от банка на заблокированном экране телефона;
- критически относиться к "выгодным предложениям" в соцсетях — слишком привлекательная цена часто является признаком мошенничества.
- использовать виртуальные карты для онлайн-покупок — такие карты имеют отдельный номер и ограниченный срок действия — даже если данные украдут, основная карта останется защищенной.
- включить SMS или push-уведомления обо всех транзакциях с картами — это позволяет мгновенно реагировать на подозрительные операции.
- в приложении или интернет-банкинге установить лимиты на онлайн-операции — ограничение суммы уменьшает риск больших потерь в случае мошенничества.
- обновлять мобильные приложения только из официальных магазинов (AppStore, GooglePlay) и избегать сторонних источников — они могут содержать вредоносное ПО.
- не сохраняйте данные карты в браузере или на сайтах — лучше вводить их вручную или использовать защищенные платежные сервисы (ApplePay, GooglePay).
"Мы системно работаем над тем, чтобы клиенты понимали, как действуют мошенники и как себя защитить, ведь эффективное противодействие начинается с качественного информирования. Повышение осведомленности населения в этом направлении — важная часть нашей ежедневной работы", — говорит Екатерина Мащенко.
И все же пока говорить о высоком уровне финансовой и кибербезопасности осведомленности украинцев рано. Эксперты считают, что довольно много украинцев сегодня не имеют достаточно информации о типичных схемах мошенничества или не могут распознать подозрительные сообщения и звонки.
"Эмоциональное давление, поспешность и доверие к неофициальным источникам тоже способствуют тому, что некоторые пользователи становятся жертвами аферистов. Относительно сравнения с другими странами, такими как Польша или Германия, можно сказать, что там общий уровень осведомленности о безопасности финансовых операций значительно выше, а государственные и финансовые институты активно проводят образовательные кампании, что помогает людям лучше защищаться. Кроме того, в этих странах больше внимания уделяют технологиям защиты — например, более широкое использование многофакторной аутентификации, более жесткие регуляции и развитые системы контроля транзакций", — объяснил Вадим Гаврилюк.
